JP2019505919A - 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法 - Google Patents

潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法 Download PDF

Info

Publication number
JP2019505919A
JP2019505919A JP2018537460A JP2018537460A JP2019505919A JP 2019505919 A JP2019505919 A JP 2019505919A JP 2018537460 A JP2018537460 A JP 2018537460A JP 2018537460 A JP2018537460 A JP 2018537460A JP 2019505919 A JP2019505919 A JP 2019505919A
Authority
JP
Japan
Prior art keywords
backup
computing device
file
ransomware
backup copy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018537460A
Other languages
English (en)
Other versions
JP6689992B2 (ja
Inventor
グー・レイ
ソコロフ・イリヤ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2019505919A publication Critical patent/JP2019505919A/ja
Application granted granted Critical
Publication of JP6689992B2 publication Critical patent/JP6689992B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0623Securing storage systems in relation to content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/065Replication mechanisms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/81Threshold

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Quality & Reliability (AREA)
  • Retry When Errors Occur (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するためのコンピュータ実装方法は、(1)ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することと、(2)ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、(3)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することと、(4)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節することと、(5)調節されたバックアップポリシーに基づいてバックアップコピーを管理することと、を含み得る。様々な他の方法、システム、及びコンピュータ可読媒体も開示される。

Description

ランサムウェアは、ユーザーがマルウェアを除去するために支払いをしない限り、デバイスへのアクセスを阻止するか、ないしは別の方法でデバイスの正常な機能を妨げることによって、コンピューティングデバイスを人質に取り得る、特定の形態のマルウェアである。例えば、クリプトウイルスの脅迫(cryptoviral extrotion)は、ユーザーのファイルを暗号化し(例えば、セッションキーを使用する)、ユーザーのファイルを復号化し、それらのファイルへのユーザーのアクセスを復元する前に支払いを要求することによって、これを成し遂げ得る。
セキュリティソフトウェアは従来、マルウェアがデバイスに感染した後にマルウェアを除去することを試みる、及び/又は感染中に生じる損傷を最小限に抑えることを試みる。しかしながら、クリプトウイルスの脅迫の暗号化プロセスに使用されるサイズのキーが大きいため、攻撃後に攻撃で使用された暗号化キーを所有せずにこの形態のランサムウェアを克服することは不可能に近い場合がある。このため、一部のセキュリティソリューションは、ファイルのバックアップコピーを作製し(例えば、デバイス上の既存のファイルをミラーリングする)、攻撃に備えてそれらのコピーを別の場所に格納し得る。しかしながら、ランサムウェアが適時に検出されないと、これらのバックアップコピーは、単に暗号化ファイルをミラーリングするだけで、ユーザーはリカバリオプションなしで取り残される場合がある。したがって、本開示は、クリプトウイルスの脅迫並びに他の形態のランサムウェア攻撃によるファイル及びデータの完全な損失を防止するため、ランサムウェアを検出し、ファイルを管理するための改善された付加的なシステムの必要性を識別し、これに取り組む。
以下により詳細に説明されるように、本開示は、一般に、危険性のあるバックアップコピーを分離し、特別な事例を処理するようにファイルバックアップポリシーを変更することにより、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法に関する。例えば、開示されるシステムは、まず、ファイルバックアップ中に検出された異常なファイル及びプロセスに基づいて、潜在的なランサムウェア攻撃を検出し得る。開示されるシステムは、次いで、潜在的に暗号化されたバックアップコピーを隔離し、そのコピーが既存のファイルバックアップを上書きすること阻止するように、ファイルバックアップポリシーを調節し得る。疑わしいランサムウェア攻撃の無効性が確認された場合、これらのシステムは通常のバックアップ動作に戻り得る。
一実施例では、上述のタスクを達成するためのコンピュータ実施方法は、(1)ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することと、(2)ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、(3)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することと、(4)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節することと、(5)調節されたバックアップポリシーに基づいてバックアップコピーを管理することと、を含み得る。
いくつかの実施例では、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することは、ファイルバックアッププロセスにおける少なくとも1つのファイルの内容が異常であることを判別することを含み得る。これらの実施例では、ファイルの内容が異常であることを判別することは、ファイルの内容がファイルのタイプに一致しないことを判別すること、ファイルのヘッダーがファイルのタイプに一致しないことを判別すること、及び/又はファイルのエントロピーが予期したよりも高いことを判別することを含み得る。追加的に又は代替的に、他の実施例では、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することは、コンピューティングデバイス上の異常なファイル変更プロセスを検出することを含み得る。これらの例では、異常なファイル変更プロセスを検出することは、ファイル変更プロセスによるリソースの使用量が、既定の閾値を超えていることを判別すること、及び/又はファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することを含み得る。
一実施例では、バックアップコピーを別の場所に格納することは、バックアップコピーが他のバックアップコピー内の既存のバックアップコピーを置換することを阻止することを含み得る。一実施例では、異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することは、コンピューティングデバイス上のランサムウェアを識別すること、コンピューティングデバイスにインストールされたアンチウイルスソフトウェアからランサムウェアの確認を受信すること、コンピューティングデバイスのユーザーからランサムウェアの確認を受信すること、及び/又はコンピューティングデバイスに近接する別のコンピューティングデバイス上でランサムウェア攻撃を検出することを含み得る。この実施例では、コンピューティングデバイスの近接は、コンピューティングデバイスに対する物理的な近接、及び/又はそのコンピューティングデバイスと他のコンピューティングデバイスとの論理グループを含み得る。
いくつかの実施形態では、バックアップポリシーを調節することは、ファイルバックアッププロセスにおいて少なくとも1つのファイルを検疫することを含み得る。追加的に又は代替的に、バックアップポリシーを調節することは、ファイルバックアッププロセスを終了することを含み得る。更に、バックアップポリシーを調節することは、ファイルバックアッププロセスの頻度を調節すること、保持するバックアップコピーの数を調節すること、及び/又はバックアップするファイルのリストを調節することを含み得る。
いくつかの実施例では、調節されたバックアップポリシーに基づいてバックアップコピーを管理することは、バックアップコピーを廃棄し、安全なバックアップコピーを保持することを含み得る。これらの実施例では、バックアップコピーを管理することはまた、バックアップコピーを安全なバックアップコピーに置換することを含み得る。
一実施例では、コンピュータ実施方法は、異常がコンピューティングデバイス上のランサムウェアの徴候であることに反証することを更に含み得る。この実施例は、追加的に、バックアップコピーを他のバックアップコピーとマージすることを含み得る。
一実施形態では、上述の方法を実施するためのシステムは、(1)ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出する、メモリに格納された検出モジュールと、(2)ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納する、メモリに格納された記憶モジュールと、(3)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認する、メモリに格納された確認モジュールと、(4)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節する、メモリに格納された調節モジュールと、(5)調節したバックアップポリシーに基づいてバックアップコピーを管理する、メモリに格納された管理モジュールと、を含んでもよい。更に、システムは、検出モジュール、記憶モジュール、確認モジュール、調節モジュール、及び管理モジュールを実行する少なくとも1つの物理プロセッサを含んでもよい。
いくつかの実施例では、上述の方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されたときに、コンピューティングデバイスに、(1)ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することと、(2)ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、(3)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することと、(4)異常がコンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節することと、(5)調節されたバックアップポリシーに基づいてバックアップコピーを管理することと、を実行させ得る、1つ以上のコンピュータ実行可能命令を含み得る。
上述の実施形態のいずれかによる特徴は、本明細書に記載される一般原理に従って、互いに組み合わせて使用されてもよい。これら及び他の実施形態、特徴、及び利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことによって更に十分に理解されるだろう。
添付の図面は、いくつかの例示的な実施形態を図示するものであり、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の様々な原理を実証及び説明する。
潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的なシステムのブロック図である。 潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための追加の例示的なシステムのブロック図である。 潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的な方法のフロー図である。 ファイルバックアッププロセス中に検出された例示的な異常の例示的な検出のブロック図である。 バックアップコピーを管理するための例示的なバックアップポリシーの例示的な調節のブロック図である。 本明細書で説明及び/又は図示される実施形態のうちの1つ以上を実施できる例示的なコンピューティングシステムのブロック図である。 本明細書で説明及び/又は図示される実施形態のうちの1つ以上を実施できる例示的なコンピューティングネットワークのブロック図である。 図面を通して、同一の参照符号及び記述は、必ずしも同一ではないが、類似の要素を示す。本明細書で説明される例示的実施形態は、様々な修正物及び代替的な形態が可能であるが、特定の実施形態が例として図面に示されており、本明細書に詳細に記載される。しかしながら、本明細書に記載される例示的実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲内にある全ての修正物、等価物、及び代替物を網羅する。
本開示は、全般的に、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法を対象とする。より詳細に後述するように、潜在的に感染したファイルを隔離することによって、本明細書に開示されるシステム及び方法は、ランサムウェアによるデータの損失を回避するためのバックアップコピーのより良好な管理を提供し得る。例えば、ファイルバックアッププロセス中に異常を検出することにより、開示されるシステム及び方法は、それらのファイルを危険にさらし得る潜在的なランサムウェアを識別し得る。開示されるシステム及び方法は、次いで、潜在的な脅威に適応して、感染したバックアップコピーが暗号化されていないバックアップコピーを置換することを阻止するよう、バックアップポリシーを変更し得る。
以下は、図1〜図2を参照して、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的なシステムの詳細な説明を提供する。対応するコンピュータ実施方法の詳細な説明も図3に関連して提供される。加えて、ファイルバックアッププロセス中に検出された例示的な異常の例示的な検出についての詳細な説明が、図4に関連して提供される。更に、バックアップコピーを管理する例示的なバックアップポリシーの例示的な調節についての詳細な説明が、図5に関連して提供される。最後に、本明細書に記載された実施形態のうちの1つ以上を実施できる例示的なコンピューティングシステム及びネットワークアーキテクチャについての詳細な説明が、それぞれ、図6及び図7と関連して提供される。
図1は、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的なシステム100のブロック図である。本明細書で使用されるとき、用語「ランサムウェア」は、一般に、コンピュータファイル又は構成要素へのアクセスを制限して、アクセスを復元するための身代金を要求するように設計されたマルウェア、すなわち悪意のあるソフトウェアを指す。ランサムウェアの例としては、非限定的に、クリプトウイルスの脅迫、暗号化プログラム、スケアウェアのトロイの木馬、又はマルウェアによって作成された制限を除去するためにユーザーからの支払いを要求する、他の何らかの形態のマルウェアが挙げられ得る。
図1に図示されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。例えば、より詳細に後述するように、例示的システム100は、ファイルバックアッププロセス中に、コンピューティングシステム上のランサムウェアの潜在的な徴候であり得る異常を検出し得る、検出モジュール104を含んでもよい。例示的なシステム100はまた、ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーから別の場所にバックアップコピーを格納し得る、記憶モジュール106を含んでもよい。例示的なシステム100は、異常がコンピューティングデバイス上のランサムウェアの徴候であり得ることを確認し得る、確認モジュール108を追加的に含んでもよい。更に、例示的なシステム100は、異常がコンピューティングデバイス上のランサムウェアの徴候であり得ることを確認することに応答してバックアップポリシーを調節し得る、調節モジュール110を含んでもよい。本明細書で使用するとき、用語「バックアップポリシー」は、一般に、ファイルバックアッププロセスとファイルのバックアップコピーの記憶域とを管理するための一組の規則を指す。
最後に、例示的なシステム100は、調節されたバックアップポリシーに基づいてバックアップコピーを管理し得る、管理モジュール112を含んでもよい。別々の要素として図示されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの部分を表してもよい。
特定の実施形態では、図1のモジュール102のうち1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表し得る。例えば、より詳細に後述するように、モジュール102のうちの1つ以上は、図2に示されるデバイス(例えば、コンピューティングデバイス202及び/若しくはサーバ206)、図6のコンピューティングシステム610、並びに/又は図7の例示的なネットワークアーキテクチャ700の部分など、1つ以上のコンピューティングデバイスに格納され、その上で動くように構成された、ソフトウェアモジュールを表してもよい。図1のモジュール102のうち1つ以上はまた、1つ以上のタスクを実施するように構成された1つ以上の専用コンピュータの全て又は一部を表し得る。
図1に示すように、例示的なシステム100はまた、データベース120などの1つ以上のデータベースを含んでもよい。一実施例では、データベース120は、バックアップコピー122及び/又は他のバックアップコピー124を格納するように構成されてよく、他のバックアップコピー124は、コンピューティングデバイス202)上のファイルのコピーを含む既存のバックアップコピー126を含んでもよい。データベース120はまた、ファイルバックアッププロセスを管理し得る、バックアップポリシー214などのバックアップポリシーを格納するように構成されてもよい。
データベース120は、単一のデータベース若しくはコンピューティングデバイスの部分、又は複数のデータベース若しくはコンピューティングデバイスの部分を表してもよい。例えば、データベース120は、図2のサーバ206の一部分、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分を表してもよい。あるいは、図1のデータベース120は、図2のサーバ206、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分など、コンピューティングデバイスによってアクセスすることができる、1つ以上の物理的に別個のデバイスを表してもよい。
図1の例示的なシステム100は、様々な方法で実装され得る。例えば、例示的なシステム100の全て又は一部は、図2における例示的なシステム200の部分を表してもよい。図2に示されるように、システム200は、ネットワーク204を介してサーバ206と通信するコンピューティングデバイス202を含んでもよい。一実施例では、コンピューティングデバイス202は、モジュール102のうち1つ以上を用いてプログラムされてもよく、かつ/又はデータベース120内のデータの全て若しくは一部分を記憶することができる。加えて、又は代替的に、サーバ206は、モジュール102のうちの1つ以上を用いてプログラムされてもよく、及び/又はデータベース120のデータの全て若しくは一部を記憶してもよい。同様に、サーバ206及びコンピューティングデバイス202の両方は、単一のマシン又はコンピューティングデバイスにマージされてもよい。
一実施形態では、図1にあるモジュール102のうちの1つ以上は、コンピューティングデバイス202及び/又はサーバ206のプロセッサのうちの少なくとも1つにより実行されると、コンピューティングデバイス202及び/又はサーバ206が、ランサムウェアがファイルバックアップコピーに影響を与えることを阻止することを可能にし得る。例えば、より詳細に後述するように、検出モジュール104は、ファイルバックアッププロセス中に、コンピューティングデバイス202上のランサムウェアの潜在的な徴候である異常208を検出し得る。これに応答して、記憶モジュール106は、バックアップコピー122を他のバックアップコピー124とは別の場所に格納し得る。確認モジュール108は、次いで、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを確認し得る。調節モジュール110は、次いで、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを確認することに応答してバックアップポリシー214を調節し得る。最後に、管理モジュール112は、調節されたバックアップポリシー214に基づいてバックアップコピー122を管理し得る。
図2の例では、及びより詳細に後述されるように、コンピューティングデバイス202は、最初に異常208を検出し、ネットワーク204を介して、バックアップコピー122を他のバックアップコピー124とは別にサーバ206上に格納して、既存のバックアップコピー126が上書きされることを阻止してよい。コンピューティングデバイス202は次いで、アンチウイルスソフトウェア210からランサムウェアの確認212を受信し得る。次に、コンピューティングデバイス202は、ランサムウェアの確認212に基づいて、バックアップポリシー214を調節し得る。最後に、コンピューティングデバイス202は、新たに調節されたバックアップポリシー214に基づいてバックアップコピー122を管理するよう、サーバ206に命令し得る。
コンピューティングデバイス202は、一般に、コンピュータ実行可能命令を読み取ることができる任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、非限定的に、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、埋め込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、ゲーム機、それらの1つ以上の組み合わせ、図6の例示的なコンピューティングシステム610、あるいは他の任意の好適なコンピューティングデバイスが挙げられる。
サーバ206は、一般に、ファイルのバックアップコピーを格納及び/又は管理することができる任意のタイプ又は形態のコンピューティングデバイスを表す。サーバ206の例としては、限定することなく、様々なデータベースサービスを提供するように、かつ/又はある特定のソフトウェアアプリケーションを作動させるように構成されたアプリケーションサーバ及びデータベースサーバが挙げられる。
ネットワーク204は、一般に、通信若しくはデータ転送を容易にすることが可能な、任意の媒体又はアーキテクチャを表す。ネットワーク204の例としては、非限定的に、イントラネット、広域ネットワーク(Wide Area Network)(WAN)、ローカルエリアネットワーク(Local Area Network)(LAN)、パーソナルエリアネットワーク(Personal Area Network)(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、Global System for Mobile Communications(GSM(登録商標))ネットワーク)、図7の例示的なネットワークアーキテクチャ700などが挙げられる。ネットワーク204は、無線接続又は有線接続を使用して、通信又はデータ転送を容易にしてもよい。一実施形態では、ネットワーク204は、コンピューティングデバイス202とサーバ206との間の通信を容易にしてもよい。
図3は、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための、例示的なコンピュータ実施方法300のフロー図である。図3に示されるステップは、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施されてもよい。いくつかの実施形態では、図3に示すステップは、図1のシステム100、図2のシステム200、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分の構成要素のうち1つ以上によって実行されてもよい。
図3に例証されるように、ステップ302では、本明細書に記載されるシステムのうちの1つ以上は、ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出し得る。例えば、検出モジュール104は、図2のコンピューティングデバイス202の一部として、ファイルバックアッププロセス中に、コンピューティングデバイス202上のランサムウェアの潜在的な徴候である異常208を検出し得る。
検出モジュール104は、様々な方法で、異常208を検出し得る。いくつかの実施例では、検出モジュール104は、ファイルバックアッププロセス内の少なくとも1つのファイルの内容が異常であることを判別することにより、異常208を検出し得る。これらの実施例では、ファイルの内容が異常であることを判別することは、ファイルの内容がファイルのタイプに一致しないことを判別すること、ファイルのヘッダーがファイルのタイプに一致しないことを判別すること、及び/又はファイルのエントロピーが予期したよりも高いことを判別することを含み得る。本明細書で使用するとき、用語「ファイルエントロピー」は、一般に、ファイル内のデータ値の不規則性の尺度を指す。とりわけ、暗号化されたファイルは、より不規則に見え、暗号化されていないバージョンのファイルよりも高いファイルエントロピー値を有し得る。
例えば、図4に示されているように、検出モジュール104は、ファイルバックアッププロセス中に、ファイル400(1)、ファイル400(2)、及びファイル400(3)の情報を検出し得る。この実施例では、ファイル400(2)は、ファイルのタイプ(例えば「画像」)と一致しないファイルヘッダー(例えば「テキストヘッダー」を有し得る。加えて、ファイル400(2)は、高いファイルエントロピー値を有し得る。このように、検出モジュール104は、ファイル400(2)の異常な内容に基づいて、異常208を検出し得る。
他の実施例では、検出モジュール104は、コンピューティングデバイス202上の異常なファイル変更プロセスを検出することによって、異常208を検出し得る。これらの例では、異常なファイル変更プロセスを検出することは、ファイル変更プロセスによるリソースの使用量が、既定の閾値を超えていることを判別すること、及び/又はファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することを含み得る。例えば、検出モジュール104は、ランサムウェア攻撃の影響を受けやすい特定のタイプのファイルを開くときに使用される処理電力の異常に高い消費を検出し得る。別の実施例では、短期間に変更された多数のファイルもランサムウェア攻撃を示している場合がある。異常なリソースの使用量又は異常なファイルのアクセスは、標準閾値、又は正常な使用量とランサムウェア攻撃の既知の事例とに基づいて学習された値によって判別され得る。
図3に戻り、ステップ304では、本明細書に記載されるシステムのうちの1つ以上は、ランサムウェアの潜在的な徴候である異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納し得る。例えば、記憶モジュール106は、図2のコンピューティングデバイス202の一部として、異常208の検出に応答し、他のバックアップコピー124とは別の場所にバックアップコピー122を格納し得る。
記憶モジュール106は、多様な方法でバックアップコピー122を格納し得る。一実施形態では、記憶モジュール106は、バックアップコピー122が他のバックアップコピー124内の既存のバックアップコピー126を置換することを阻止することによって、バックアップコピー122を別の場所に格納し得る。図2の実施例では、バックアップコピー122は、サーバ206上に別個に格納された、既存のバックアップコピー126と同じファイルの追加コピーであってもよい。別の場所としては、別のクラウド記憶域の場所、パーティション化された記憶域、又は別のサーバが挙げられ得る。また、バックアップコピー122は、コンピューティングデバイス202又は他の接続された記憶デバイス上に一時的に格納されてもよい。
図3に戻り、ステップ306では、本明細書に記載されたシステムのうちの1つ以上は、コンピューティング上のランサムウェアの徴候であることを確認し得る。例えば、確認モジュール108は、図2のコンピューティングデバイス202の一部として、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを確認し得る。
確認モジュール108は、異常208がランサムウェアの徴候であることを多様な方法で確認し得る。いくつかの実施例では、確認モジュール108は、コンピューティングデバイス202上のランサムウェアを識別し得る。図2の実施例では、確認モジュール108は、コンピューティングデバイス202にインストールされたアンチウイルスソフトウェア210からランサムウェア212の確認を受信し得る。この実施例では、アンチウイルスソフトウェア210は、コンピューティングデバイス202上のランサムウェアを識別し、確認モジュール108にランサムウェアの情報を送信し得る。他の実施例では、確認モジュール108は、コンピューティングデバイス202のユーザーからランサムウェア212の確認を受信し得る。
追加の実施例では、確認モジュール108は、コンピューティングデバイス202に近接する別のコンピューティングデバイス上のランサムウェア攻撃を検出し得る。これらの実施例では、コンピューティングデバイス202の近接は、コンピューティングデバイス202に対する物理的な近接及び/又はコンピューティングデバイス202と他のコンピューティングデバイスとの論理グループを含み得る。例えば、他のコンピューティングデバイスは、コンピューティングデバイス202と同じ建物内に配置されているか、又はネットワーク204などの同じネットワークに接続されていてもよい。別の実施例では、他のコンピューティングデバイスは、コンピューティングデバイス202と同じ組織の一部であってもよい。これらの実施例では、他のコンピューティングデバイス上で確認されたランサムウェア攻撃は、コンピューティングデバイス202におけるランサムウェアに対する脆弱性を示し得る。確認モジュール108は、次いで、他のコンピューティングデバイス上のランサムウェアの確認を受信して、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを判別し得る。
図3に戻り、ステップ308では、本明細書に記載されたシステムのうちの1つ以上は、異常がコンピューティング上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節し得る。例えば、調節モジュール110は、図2のコンピューティングデバイス202の一部として、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることを確認することに応答してバックアップポリシー214を調節し得る。
調節モジュール110は、多様な方法でバックアップポリシー214を調節し得る。一実施形態では、調節モジュール110は、ファイルバックアッププロセスにおいて少なくとも1つのファイルを検疫し、ファイルバックアッププロセスを終了し、ファイルバックアッププロセスの頻度を調節し、保持するバックアップコピーの数を調節し、及び/又はバックアップするファイルのリストを調節し得る。この実施形態では、バックアッププロセスは、続けて、コンピューティングデバイス202上の疑わしいランサムウェアのために、暗号化されていないコピーをより頻繁にバックアップする、又は他のコンピューティングデバイス上のランサムウェアを確認してよい。ファイルバックアッププロセスの頻度は、また、バックアッププロセスが完了する速度及び/又は疑わしいランサムウェアが解決するまでの完全停止を含み得る。追加的に、例えば、調節モジュール110は、疑わしいランサムウェアがターゲットとするファイルのタイプ、又は危険な状態であり得る特定のファイルを除外するように、バックアップポリシー214内のファイルのリストを調節し得る。
例えば、図5に示されているように、バックアップポリシー214(1)は、保持するコピーの数(例えば、1)と、保持する特定のバックアップコピー(例えば、バックアップコピー122)とを指定し得る。調節モジュール110は、次いで、保持するコピーの数(例えば、2)と保持するバックアップコピー(例えば、バックアップコピー122、安全なコピー500)とを変更するバックアップポリシー214(2)を作製するように、バックアップポリシー214(1)を調節し得る。更に、図4に示されているように、調節モジュール110は、異常208を含むファイル400(2)を検疫し得る。
図3に戻り、ステップ310では、本明細書で記載されるシステムのうちの1つ以上は、調節されたバックアップポリシーに基づいてバックアップコピーを管理し得る。例えば、管理モジュール112は、図2のコンピューティングデバイス202の一部として、調節されたバックアップポリシー214に基づいてバックアップコピー122を管理し得る。
管理モジュール112は、多様な方法でバックアップコピー122を管理し得る。いくつかの実施例では、管理モジュール112は、バックアップコピー122を廃棄し、安全なバックアップコピーを保持し、及び/又はバックアップコピー122を安全なバックアップコピーで置換し得る。図5の実施例では、調節されたバックアップポリシー214(2)は、バックアップコピー122及び安全なコピー500の両方を保持し得る。他の実施例では、調節されたバックアップポリシー214は、図2のランサムウェア212の確認に基づいて、バックアップコピー122を廃棄し得る。安全なコピー500は、既存のバックアップコピー126など、ランサムウェアの影響を受けていない以前のバックアップコピーを含んでもよい。コンピューティングデバイス202は、図4のファイル400(2)など、暗号化されたファイルを回復するために安全なコピー500を追加的に使用してもよい。
いくつかの実施形態では、本明細書に記載されたシステムのうちの1つ以上は、異常208がコンピューティングデバイス202上のランサムウェアの徴候であることに反証し、バックアップコピー122と他のバックアップコピー124とをマージし得る。これらの実施形態では、ファイルバックアッププロセスは、引き続き通常どおり、バックアップコピー122を他のバックアップコピー124と一緒に格納し得る。バックアップコピー122は次いで、既存のバックアップコピー126又は同じファイルの代替バックアップコピーを安全に置換し得る。追加的に、バックアップポリシー214は、その元のバージョンに戻り、引き続きファイルバックアッププロセスを管理してもよい。更に、異常を検出するときに使用される規定の閾値は、ランサムウェアの確認又はランサムウェアの反証に基づいて調節されてもよい。
図3の方法300に関連して上で説明したように、開示されるシステム及び方法は、ファイルバックアッププロセス中に潜在的なランサムウェア攻撃を示し得る異常を検出することによって、ランサムウェアの影響を受ける暗号化されたバックアップコピーが暗号化されていないバックアップコピーを置換することを阻止し得る。具体的には、開示されるシステム及び方法は、まず、バックアッププロセスでファイルを分析して、異常な内容を検出し得る。例えば、ファイルエントロピー値の高いファイルは、ランサムウェアによる潜在的な暗号化を示している場合がある。開示されるシステム及び方法は、次いで、潜在的に暗号化されたファイルが、攻撃の確認の保留中にバックアップされることを防止し得る。開示されるシステム及び方法は、次いで、以前のバックアップコピーとは別にバックアップコピーを格納し、追加の記憶域を考慮するようにバックアップポリシーを変更し得る。ランサムウェアの確認時に、本明細書に記載されたシステム及び方法は、影響を受けたバックアップコピーを廃棄し、以前の安全なバックアップコピーを戻し得る。このように、開示されるシステム及び方法は、ユーザーが、暗号化されていないバックアップコピーを使用して、暗号化されたファイルを回復させることを可能にし得る。
上に詳述したように、ファイルバックアップ中にファイルを評価することによって、開示されるシステム及び方法は、ランサムウェア攻撃を示す異常を検出し得る。加えて、ランサムウェアの疑いに基づいてバックアップポリシーを調節することにより、開示されるシステム及び方法は、暗号化されたファイルのバックアップコピーが回復時に使用され得る以前の暗号化されていないバージョンのファイルを上書きすることを防止でき得る。このように、本明細書に記載されたシステム及び方法は、ランサムウェア攻撃から回復させるためのバックアップコピーのより良い管理を提供し得る。
図6は、本明細書に記載及び/又は図示される実施形態のうち1つ以上を実装できる例示的なコンピューティングシステム610のブロック図である。例えば、コンピューティングシステム610の全て又は一部は、単独で又は他の要素と組み合わせのいずれかで、(図3に示されるステップのうち1つ以上などの)本明細書に記載されるステップのうち1つ以上を実施してもよく、及び/又はそれを実施するための手段であってもよい。コンピューティングシステム610の全て又は一部は、また、本明細書に記載及び/又は図示される他の任意のステップ、方法、若しくは処理を実施し、及び/又はそれを実施するための手段となり得る。
コンピューティングシステム610は、コンピュータ可読命令を実行することが可能な任意のシングル若しくはマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム610の例としては、非限定的に、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は他の任意のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム610は、少なくとも1つのプロセッサ614及びシステムメモリ616を含んでもよい。
プロセッサ614は、データの処理又は命令の解釈及び実行が可能な任意のタイプ若しくは形式の物理的処理ユニット(例えば、ハードウェア実装型中央処理ユニット)を、一般に表す。特定の実施形態では、プロセッサ614は、ソフトウェアアプリケーション又はモジュールから命令を受信してもよい。これらの命令は、プロセッサ614に、本明細書において記載及び/又は図示される例示的な実施形態のうちの1つ以上の機能を実施させてもよい。
システムメモリ616は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ若しくは形態の揮発性又は不揮発性記憶デバイスを表す。システムメモリ616の例としては、非限定的に、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、又は他の任意の好適なメモリデバイスが挙げられる。必須ではないが、特定の実施形態では、コンピューティングシステム610は、揮発性メモリユニット(例えば、システムメモリ616など)、及び不揮発性記憶デバイス(例えば、詳細に後述するような、一次記憶デバイス632など)の両方を含み得る。一実施例では、図1のモジュール102のうち1つ以上がシステムメモリ616にロードされ得る。
特定の実施形態では、例示的なコンピューティングシステム610は、また、プロセッサ614及びシステムメモリ616に加えて、1つ以上の構成要素又は要素を含んでもよい。例えば、図6に示されるように、コンピューティングシステム610は、メモリコントローラ618、入力/出力(I/O)コントローラ620、及び通信インターフェース622を含んでもよいが、それらはそれぞれ通信基盤612を介して相互接続されてもよい。通信基盤612は、一般に、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ又は形態の基盤を表す。通信基盤612の例としては、非限定的に、通信バス(産業標準アーキテクチャ(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられる。
メモリコントローラ618は、一般に、メモリ若しくはデータを扱うこと、又はコンピューティングシステム610の1つ以上の構成要素間の通信を制御することが可能な、任意のタイプ又は形態のデバイスを表す。例えば、特定の実施形態では、メモリコントローラ618は、通信基盤612を介して、プロセッサ614、システムメモリ616、及びI/Oコントローラ620の間の通信を制御してもよい。
I/Oコントローラ620は、一般に、コンピューティングデバイスの入出力機能を調整及び/又は制御することが可能な、任意のタイプ又は形態のモジュールを表す。例えば、特定の実施形態では、I/Oコントローラ620は、プロセッサ614、システムメモリ616、通信インターフェース622、ディスプレイアダプタ626、入力インターフェース630、及び記憶インターフェース634など、コンピューティングシステム610の1つ以上の要素間におけるデータの転送を制御し、又はそれを容易にし得る。
通信インターフェース622は、例示的なコンピューティングシステム610と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ又は形態の通信デバイス又はアダプタを幅広く表す。例えば、特定の実施形態では、通信インターフェース622は、コンピューティングシステム610と、追加のコンピューティングシステムを含む私設又は公衆ネットワークとの間の通信を容易にし得る。通信インターフェース622の例としては、非限定的に、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び他の任意の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、通信インターフェース622は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供し得る。通信インターフェース622はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通して、リモートサーバへの接続を間接的に提供し得る。
特定の実施形態では、通信インターフェース622はまた、外部バス又は通信チャネルを介して、コンピューティングシステム610と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成された、ホストアダプタを表し得る。ホストアダプタの例としては、非限定的に、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース622はまた、コンピューティングシステム610が分散型又はリモートコンピューティングに関与することを可能にし得る。例えば、通信インターフェース622は、実行のためにリモートデバイスから命令を受信、又はリモートデバイスに命令を送信し得る。
図6に示すように、コンピューティングシステム610はまた、ディスプレイアダプタ626を介して通信基盤612に連結される少なくとも1つのディスプレイデバイス624を含み得る。ディスプレイデバイス624は、ディスプレイアダプタ626によって転送される情報を視覚的に表示することができる、任意のタイプ若しくは形態のデバイスを、一般に表す。同様に、ディスプレイアダプタ626は、ディスプレイデバイス624に表示するために、通信基盤612から(又は当該技術分野において既知であるように、フレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された、任意のタイプ若しくは形態のデバイスを、一般に表す。
図6に示すように、例示的なコンピューティングシステム610はまた、入力インターフェース630を介して通信基盤612に連結される少なくとも1つの入力デバイス628を含み得る。入力デバイス628は、コンピュータ又は人間のいずれかが生成した入力を、例示的なコンピューティングシステム610に提供することができる、任意のタイプ若しくは形態の入力デバイスを、一般に表す。入力デバイス628の例としては、非限定的に、キーボード、ポインティングデバイス、音声認識デバイス、又は他の任意の入力デバイスが挙げられる。
図6に示すように、例示的なコンピューティングシステム610はまた、記憶インターフェース634を介して通信基盤612に連結される、一次記憶デバイス632及びバックアップ記憶デバイス633を含み得る。記憶デバイス632及び633は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス632及び633は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであり得る。記憶インターフェース634は、一般に、記憶デバイス632及び633とコンピューティングシステム610の他の構成要素との間でデータを転送するための、任意のタイプ若しくは形態のインターフェース又はデバイスを表す。一実施例では、図1のデータベース120は、一次記憶デバイス632内に格納され得る。
特定の実施形態では、記憶デバイス632及び633は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を格納するように構成された取外し可能な記憶ユニットから読み取る、及び/又はそれに書き込むように構成され得る。好適な取外し可能な記憶ユニットの例としては、非限定的に、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられる。記憶デバイス632及び633はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令が、コンピューティングシステム610にロードされることを可能にする、他の同様の構造体又はデバイスを含み得る。例えば、記憶デバイス632及び633は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み取るように、及びこれを書き込むように構成され得る。記憶デバイス632及び633はまた、コンピューティングシステム610の一部であってもよく、又は他のインターフェースシステムを介してアクセスされる別個のデバイスであってもよい。
他の多くのデバイス又はサブシステムが、コンピューティングシステム610に接続され得る。反対に、図6に示す構成要素及びデバイスの全てが、本明細書に記載及び/又は図示される実施形態を実践するために存在する必要があるわけではない。上記で言及したデバイス及びサブシステムはまた、図6に示されるのとは異なる方法で相互接続され得る。コンピューティングシステム610はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェアの構成を用い得る。例えば、本明細書で開示する例示的な実施形態の1つ以上は、コンピュータ可読媒体上で、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。本明細書で使用するとき、「コンピュータ可読媒体」という句は一般に、コンピュータ可読命令を記憶又は保有することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、非限定的に、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY(登録商標))ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時的媒体が挙げられる。
コンピュータプログラムを包含するコンピュータ可読媒体は、コンピューティングシステム610にロードされ得る。コンピュータ可読媒体に格納されたコンピュータプログラムの全て又は一部は、次に、システムメモリ616に、及び/又は記憶デバイス632及び633の様々な部分に格納され得る。プロセッサ614によって実行されると、コンピューティングシステム610にロードされたコンピュータプログラムは、プロセッサ614に、本明細書に記載及び/又は図示される例示的な実施形態のうち1つ以上の機能を実施させ、及び/又はそれらを実施するための手段となり得る。追加的に又は代替案として、本明細書に記載及び/又は図示される例示的な実施形態の1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム610は、本明細書に開示される例示的な実施形態のうちの1つ以上を実装するように適合される、特定用途向け集積回路(ASIC)として構成されてもよい。
図7は、クライアントシステム710、720、及び730、並びにサーバ740及び745がネットワーク750に連結され得る、例示的なネットワークアーキテクチャ700のブロック図である。上記に詳述したように、ネットワークアーキテクチャ700の全て又は一部は、単独又は他の要素との組み合わせのいずれかで、本明細書に開示されるステップのうちの1つ以上(図3に示されるステップのうちの1つ以上など)を実施し得るが、及び/又はそれを実施するための手段となり得る。ネットワークアーキテクチャ700の全て又は一部はまた、本開示に記載される他のステップ及び特徴を実施するのに使用され得るか、及び/又はそれを実施するための手段となり得る。
クライアントシステム710、720、及び730は、一般に、図6の例示的なコンピューティングシステム610など、任意のタイプ若しくは形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ740及び745は、様々なデータベースサービスを提供し、及び/又は特定のソフトウェアアプリケーションを実行するように構成された、アプリケーションサーバ又はデータベースサーバなどのコンピューティングデバイス又はシステムを、一般に表す。ネットワーク750は、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを、一般に表す。一実施例では、クライアントシステム710、720、及び/若しくは730、並びに/又はサーバ740及び/若しくは745は、図1からのシステム100の全て、又は一部を含み得る。
図7に示すように、1つ以上の記憶デバイス760(1)〜(N)はサーバ740に直接取り付けられてもよい。同様に、1つ以上の記憶デバイス770(1)〜(N)は、サーバ745に直接取り付けられ得る。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を、一般に表す。特定の実施形態では、記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用して、サーバ740及び745と通信するように構成されたネットワーク接続ストレージ(NAS)デバイスを表し得る。
サーバ740及び745はまた、ストレージエリアネットワーク(SAN)ファブリック780に接続され得る。SANファブリック780は、一般に、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ若しくは形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック780は、サーバ740及び745と、複数の記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶アレイ795との間の通信を容易にし得る。SANファブリック780はまた、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795が、クライアントシステム710、720、及び730にローカルで取り付けられたデバイスとして現れるような方式で、ネットワーク750並びにサーバ740及び745を介して、クライアントシステム710、720、及び730と、記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶アレイ795との間の通信を容易にし得る。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)と同様に、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795は、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ若しくは形態の記憶デバイス又は媒体を、一般に表す。
特定の実施形態では、また図6の例示的なコンピューティングシステム610を参照すると、図6の通信インターフェース622などの通信インターフェースは、それぞれのクライアントシステム710、720、及び730とネットワーク750との間の接続を提供するために使用され得る。クライアントシステム710、720、及び730は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ740又は745上の情報にアクセスすることが可能であり得る。かかるソフトウェアは、クライアントシステム710、720、及び730が、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、又はインテリジェント記憶アレイ795によってホストされるデータにアクセスすることを可能にし得る。図7は、データを交換するために(インターネットなどの)ネットワークを使用することを示しているが、本明細書に記載及び/又は図示される実施形態は、インターネット又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、インテリジェント記憶アレイ795、又はこれらの任意の組み合わせ上にロードされ、これらによって実行され得る。本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ740に格納され、サーバ745によって作動し、ネットワーク750上でクライアントシステム710、720、及び730に配信されてもよい。
上で詳述されるように、コンピューティングシステム610、及び/又はネットワークアーキテクチャ700の1つ以上の構成要素は、単独で、又は他の要素との組み合わせのいずれかで、潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するための例示的な方法の1つ以上のステップを行ってもよく、及び/又はそれを行うための手段であってもよい。
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書に記載及び/又は図示されるそれぞれのブロック図の構成要素、フローチャートのステップ、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせ)の構成を使用して実現されてもよい。それに加えて、同じ機能性を達成するように他の多くのアーキテクチャを実現することができるので、他の構成要素内に包含される構成要素のあらゆる開示は、本質的に例示と見なされるべきである。
一部の実施例では、図1の例示的なシステム100の全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表してもよい。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供してもよい。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通してアクセス可能であってもよい。本明細書に記載する様々な機能は、リモートデスクトップ環境又は他の任意のクラウドベースのコンピューティング環境を通して提供されてもよい。
様々な実施形態では、図1の例示的なシステム100の全て又は一部は、クラウドベースのコンピューティング環境内におけるマルチテナンシーを容易にしてもよい。換言すれば、本明細書に記載するソフトウェアモジュールは、本明細書に記載する機能の1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書に記載するソフトウェアモジュールの1つ以上は、2つ以上のクライアント(例えば、顧客)がサーバ上で作動しているアプリケーションを共有するのを可能にするように、サーバをプログラムしてもよい。このようにプログラムされたサーバは、複数の顧客(即ち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有してもよい。本明細書に記載するモジュールの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスできないように、顧客ごとにマルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
様々な実施形態によれば、図1の例示的なシステム100の全て又は一部は仮想環境内で実現されてもよい。例えば、本明細書に記載するモジュール及び/又はデータは、仮想機械内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想機械」という句は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。それに加えて、又は別の方法として、本明細書に記載するモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という句は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼び出しを、仮想化層内の場所にリダイレクトしてもよい。
一部の実施例では、図1の例示的なシステム100の全て又は一部は、モバイルコンピューティング環境の一部を表してもよい。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実現されてもよい。一部の実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特性、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、及び/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する制限されたプラットフォーム、アプリケーションのインストールを(例えば、認可されたアプリケーションストアからのみ生じるように)制限する制御などを含む、1つ以上の個別の特性を有することができる。本明細書で説明される様々な機能は、モバイルコンピューティング環境に対して提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
それに加えて、図1の例示的なシステム100の全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という句は、データの保護、組織化、及び/又は記憶を指し得る。情報管理のためのシステムの例としては、非限定的に、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどを挙げることができる。
一部の実施形態では、図1の例示的なシステム100の全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という句は、保護されたデータへのアクセスの制御を指し得る。情報セキュリティのためのシステムの例としては、非限定的に、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどを挙げることができる。
一部の実施例によれば、図1の例示的なシステム100の全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用するとき、「エンドポイントセキュリティ」という句は、権限がない及び/又は違法な使用、アクセス、並びに/あるいは制御からの、エンドポイントシステムの保護を指し得る。エンドポイント保護のためのシステムの例としては、非限定的に、アンチマルウェアシステム、ユーザー認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどを挙げることができる。
本明細書に記載及び/又は図示されるプロセスパラメータ及びステップの順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に図示及び/又は記載されるステップは特定の順序で図示又は考察されることがあるが、これらのステップは、必ずしも図示又は考察される順序で実施される必要はない。本明細書に記載及び/又は図示される様々な例示的な方法はまた、本明細書に記載若しくは図示されるステップの1つ以上を省略するか、又は開示されるものに加えて追加のステップを含んでもよい。
様々な実施形態を、完全に機能的なコンピューティングシステムの文脈で本明細書に記載及び/又は図示してきたが、これらの例示的な実施形態の1つ以上は、実際に配布を実施するのに使用されるコンピュータ可読媒体の特定のタイプにかかわらず、様々な形態のプログラム製品として配布されてもよい。本明細書に開示される実施形態はまた、特定のタスクを実施するソフトウェアモジュールを使用して実現されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに格納されてもよい、スクリプト、バッチ、若しくは他の実行可能ファイルを含んでもよい。一部の実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態の1つ以上を実施するようにコンピューティングシステムを構成してもよい。
それに加えて、本明細書に記載するモジュールの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、1つの形態から別の形態へと変換してもよい。例えば、本明細書に記載のモジュールのうちの1つ以上は、変換対象のバックアップポリシーを受信し、そのバックアップポリシーを変換し、変換結果を記憶デバイス又は出力デバイスに出力し、変換結果を使用してファイルのバックアップコピーを管理し、変換結果をサーバ又はデータベースに格納し得る。それに加えて、又は別の方法として、本明細書に列挙されるモジュールの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを格納し、並びに/あるいは別の方法でコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスの他の任意の部分を、1つの形態から別の形態へと変換してもよい。
上述の記載は、本明細書に開示される例示的な実施形態の様々な態様を他の当業者が最良に利用するのを可能にするために提供されてきた。この例示的な記載は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途記載のない限り、「〜に接続される」及び「〜に連結される」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的接続及び間接的接続(即ち、他の要素若しくは構成要素を介する)の両方を許容するものとして解釈されるものである。それに加えて、「a」又は「an」という用語は、本明細書及び特許請求の範囲で使用するとき、「〜のうち少なくとも1つ」を意味するものとして解釈されるものである。最後に、簡潔にするため、「含む」及び「有する」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、「備える」という単語と互換性があり、同じ意味を有する。

Claims (20)

  1. 潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するためのコンピュータ実施方法であって、前記方法の少なくとも一部が、少なくとも1つのプロセッサを備えるコンピューティングデバイスによって行われ、前記方法が、
    ファイルバックアッププロセス中に、前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することと、
    ランサムウェアの潜在的な徴候である前記異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、
    前記異常が前記コンピューティングデバイス上のランサムウェアの徴候であることを確認することと、
    前記異常が前記コンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節することと、
    前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理することと、を含む、方法。
  2. 前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である前記異常を検出することが、
    前記ファイルバックアッププロセスにおいて少なくとも1つのファイルの内容が異常であることを判別することと、
    前記コンピューティングデバイス上で異常なファイル変更プロセスを検出することと、のうちの少なくとも1つを含む、請求項1に記載の方法。
  3. 前記ファイルの内容が異常であることを判別することが、
    前記ファイルの内容が前記ファイルのタイプと一致しないことを判別することと、
    前記ファイルのヘッダーが前記ファイルのタイプと一致しないことを判別することと、
    前記ファイルのエントロピーが予期したよりも高いことを判別することと、のうちの少なくとも1つを含む、請求項2に記載の方法。
  4. 前記異常なファイル変更プロセスを検出することが、
    前記ファイル変更プロセスによるリソースの使用量が既定の閾値を超えていることを判別することと、
    前記ファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することと、のうちの少なくとも1つを含む、請求項2に記載の方法。
  5. 前記バックアップコピーを前記別の場所に格納することが、前記バックアップコピーが前記他のバックアップコピー内の既存のバックアップコピーを置換することを阻止することを含む、請求項1に記載の方法。
  6. 前記異常が前記コンピューティングデバイス上のランサムウェアの徴候であることを確認することが、
    前記コンピューティングデバイス上のランサムウェアを識別することと、
    前記コンピューティングデバイスにインストールされたアンチウイルスソフトウェアからランサムウェアの確認を受信することと、
    前記コンピューティングデバイスのユーザーから前記ランサムウェアの確認を受信することと、
    前記コンピューティングデバイスに近接する別のコンピューティングデバイスでランサムウェア攻撃を検出することと、のうちの少なくとも1つを含む、請求項1に記載の方法。
  7. 前記コンピューティングデバイスの前記近接が、
    前記コンピューティングデバイスに対する物理的な近接と、
    前記コンピューティングデバイスと前記他のコンピューティングデバイスとの論理グループと、のうちの少なくとも1つを含む、請求項6に記載の方法。
  8. 前記バックアップポリシーを調節することが、
    前記ファイルバックアッププロセスにおいて少なくとも1つのファイルを検疫することと、
    前記ファイルバックアッププロセスを終了することと、
    前記ファイルバックアッププロセスの頻度を調節することと、
    保持するバックアップコピーの数を調節することと、
    バックアップするファイルのリストを調節することと、のうちの少なくとも1つを含む、請求項1に記載の方法。
  9. 前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理することが、
    前記バックアップコピーを廃棄することと、
    安全なバックアップコピーを保持することと、
    前記バックアップコピーを前記安全なバックアップコピーに置換することと、を含む、請求項1に記載の方法。
  10. 前記異常が前記コンピューティングデバイス上のランサムウェアの徴候であることに反証することと、
    前記バックアップコピーを前記他のバックアップコピーとマージすることと、を更に含む、請求項1に記載の方法。
  11. 潜在的なランサムウェアを検出することに応答してファイルバックアップを変更するためのシステムであって、
    ファイルバックアッププロセス中に、コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出する、メモリに格納された検出モジュールと、
    ランサムウェアの潜在的な徴候である前記異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納する、メモリに格納された記憶モジュールと、
    前記異常が前記コンピューティングデバイス上のランサムウェアの徴候であることを確認する、メモリに格納された確認モジュールと、
    前記異常が前記コンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節する、メモリに格納された調節モジュールと、
    前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理する、メモリに格納された管理モジュールと、
    前記検出モジュール、前記記憶モジュール、前記確認モジュール、前記調節モジュール、及び前記管理モジュールを実行する少なくとも1つのプロセッサと、を含む、システム。
  12. 前記検出モジュールが、
    前記ファイルバックアッププロセスにおいて少なくとも1つのファイルの内容が異常であることを判別することと、
    前記コンピューティングデバイス上で異常なファイル変更プロセスを検出することと、のうちの少なくとも1つによって、前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である前記異常を検出する、請求項11に記載のシステム。
  13. 前記ファイルの内容が異常であることを判別することが、
    前記ファイルの内容が前記ファイルのタイプと一致しないことを判別することと、
    前記ファイルのヘッダーが前記ファイルのタイプと一致しないことを判別することと、
    前記ファイルのエントロピーが予期したよりも高いことを判別することと、のうちの少なくとも1つを含む、請求項12に記載のシステム。
  14. 前記異常なファイル変更プロセスを検出することが、
    前記ファイル変更プロセスによるリソースの使用量が既定の閾値を超えていることを判別することと、
    前記ファイル変更プロセスによってアクセスされるファイルの数が異常であることを判別することと、のうちの少なくとも1つを含む、請求項12に記載のシステム。
  15. 前記記憶モジュールが、前記バックアップコピーが前記他のバックアップコピー内の既存のバックアップコピーを置換することを阻止することによって、前記バックアップコピーを前記別の場所に格納する、請求項11に記載のシステム。
  16. 前記確認モジュールが、
    前記コンピューティングデバイス上のランサムウェアを識別することと、
    前記コンピューティングデバイスにインストールされたアンチウイルスソフトウェアからランサムウェアの確認を受信することと、
    前記コンピューティングデバイスのユーザーから前記ランサムウェアの確認を受信することと、
    前記コンピューティングデバイスに近接する別のコンピューティングデバイスでランサムウェア攻撃を検出することと、のうちの少なくとも1つによって、前記異常が前記コンピューティングデバイス上のランサムウェアの徴候であることを確認する、請求項11に記載のシステム。
  17. 前記コンピューティングデバイスの前記近接が、
    前記コンピューティングデバイスに対する物理的な近接と、
    前記コンピューティングデバイスと前記他のコンピューティングデバイスとの論理グループと、のうちの少なくとも1つを含む、請求項16に記載のシステム。
  18. 前記調節モジュールが、
    前記ファイルバックアッププロセスにおいて少なくとも1つのファイルを検疫することと、
    前記ファイルバックアッププロセスを終了することと、
    前記ファイルバックアッププロセスの頻度を調節することと、
    保持するバックアップコピーの数を調節することと、
    バックアップするファイルのリストを調節することと、のうちの少なくとも1つによって前記バックアップポリシーを調節する、請求項11に記載のシステム。
  19. 前記管理モジュールが、
    前記バックアップコピーを廃棄することと、
    安全なバックアップコピーを保持することと、
    前記バックアップコピーを前記安全なバックアップコピーに置換することと、によって、前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理する、請求項11に記載のシステム。
  20. 非一時的コンピュータ可読媒体であって、1つ以上のコンピュータ実行可能命令を含み、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
    ファイルバックアッププロセス中に、前記コンピューティングデバイス上のランサムウェアの潜在的な徴候である異常を検出することと、
    ランサムウェアの潜在的な徴候である前記異常を検出することに応答して、他のバックアップコピーとは別の場所にバックアップコピーを格納することと、
    前記異常が前記コンピューティングデバイス上のランサムウェアの徴候であることを確認することと、
    前記異常が前記コンピューティングデバイス上のランサムウェアの徴候であることを確認することに応答してバックアップポリシーを調節することと、
    前記調節されたバックアップポリシーに基づいて前記バックアップコピーを管理することと、を実行させる、非一時的コンピュータ可読媒体。
JP2018537460A 2016-02-01 2016-12-28 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法 Active JP6689992B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/011,695 US10742665B2 (en) 2016-02-01 2016-02-01 Systems and methods for modifying file backups in response to detecting potential ransomware
US15/011,695 2016-02-01
PCT/US2016/069021 WO2017136073A1 (en) 2016-02-01 2016-12-28 Systems and methods for modifying file backups in response to detecting potential ransomware

Publications (2)

Publication Number Publication Date
JP2019505919A true JP2019505919A (ja) 2019-02-28
JP6689992B2 JP6689992B2 (ja) 2020-04-28

Family

ID=57882142

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018537460A Active JP6689992B2 (ja) 2016-02-01 2016-12-28 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法

Country Status (5)

Country Link
US (1) US10742665B2 (ja)
EP (1) EP3411825B1 (ja)
JP (1) JP6689992B2 (ja)
CN (1) CN108701188B (ja)
WO (1) WO2017136073A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102017889B1 (ko) * 2019-03-25 2019-09-03 임채율 팬 필터 유니트 모니터링 시스템
JP2020501209A (ja) * 2016-12-29 2020-01-16 ドロップボックス, インコーポレイテッド マルウェア検出及びコンテンツアイムの復元
US10742665B2 (en) 2016-02-01 2020-08-11 NortonLifeLock Inc. Systems and methods for modifying file backups in response to detecting potential ransomware
JP7475428B2 (ja) 2019-08-13 2024-04-26 インターナショナル・ビジネス・マシーンズ・コーポレーション オンデマンドのファイル・システムのロックダウンおよび自動修復機能を伴う自動ランサムウェア検出

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130227352A1 (en) 2012-02-24 2013-08-29 Commvault Systems, Inc. Log monitoring
US9934265B2 (en) 2015-04-09 2018-04-03 Commvault Systems, Inc. Management of log data
US10609075B2 (en) 2016-05-22 2020-03-31 Guardicore Ltd. Masquerading and monitoring of shared resources in computer networks
US20170366563A1 (en) * 2016-06-21 2017-12-21 Guardicore Ltd. Agentless ransomware detection and recovery
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10671724B2 (en) * 2016-09-15 2020-06-02 Paypal, Inc. Techniques for detecting encryption
US10867040B2 (en) * 2016-10-17 2020-12-15 Datto, Inc. Systems and methods for detecting ransomware infection
US10387648B2 (en) * 2016-10-26 2019-08-20 Cisco Technology, Inc. Ransomware key extractor and recovery system
US10262135B1 (en) * 2016-12-13 2019-04-16 Symantec Corporation Systems and methods for detecting and addressing suspicious file restore activities
US10121003B1 (en) * 2016-12-20 2018-11-06 Amazon Technologies, Inc. Detection of malware, such as ransomware
US10289844B2 (en) * 2017-01-19 2019-05-14 International Business Machines Corporation Protecting backup files from malware
US10628585B2 (en) 2017-01-23 2020-04-21 Microsoft Technology Licensing, Llc Ransomware resilient databases
JP6341307B1 (ja) * 2017-03-03 2018-06-13 日本電気株式会社 情報処理装置
US11960603B2 (en) * 2017-04-25 2024-04-16 Druva Inc. Multi-step approach for ransomware detection
US11379593B2 (en) * 2017-08-16 2022-07-05 Hewlett-Packard Development Company, L.P. Storage monitoring
US11003775B2 (en) * 2017-09-11 2021-05-11 Carbon Black, Inc. Methods for behavioral detection and prevention of cyberattacks, and related apparatus and techniques
US11216559B1 (en) * 2017-09-13 2022-01-04 NortonLifeLock Inc. Systems and methods for automatically recovering from malware attacks
US20190108341A1 (en) * 2017-09-14 2019-04-11 Commvault Systems, Inc. Ransomware detection and data pruning management
US11120133B2 (en) 2017-11-07 2021-09-14 Spinbackup Inc. Ransomware protection for cloud storage systems
US20190158512A1 (en) * 2017-11-20 2019-05-23 Fortinet, Inc. Lightweight anti-ransomware system
US11010233B1 (en) 2018-01-18 2021-05-18 Pure Storage, Inc Hardware-based system monitoring
CN108459927B (zh) * 2018-02-28 2021-11-26 北京奇艺世纪科技有限公司 一种数据备份方法、装置和服务器
KR101899774B1 (ko) * 2018-03-16 2018-09-19 주식회사 시큐브 랜섬웨어 대응을 위한 데이터 처리 방법, 이를 실행시키는 프로그램 및 상기 프로그램을 기록한 컴퓨터 판독 가능한 기록매체
US11308207B2 (en) 2018-03-30 2022-04-19 Microsoft Technology Licensing, Llc User verification of malware impacted files
US11200320B2 (en) * 2018-03-30 2021-12-14 Microsoft Technology Licensing, Llc Coordinating service ransomware detection with client-side ransomware detection
US10917416B2 (en) * 2018-03-30 2021-02-09 Microsoft Technology Licensing, Llc Service identification of ransomware impacted files
US10963564B2 (en) 2018-03-30 2021-03-30 Microsoft Technology Licensing, Llc Selection of restore point based on detection of malware attack
US10769278B2 (en) * 2018-03-30 2020-09-08 Microsoft Technology Licensing, Llc Service identification of ransomware impact at account level
US11223649B2 (en) 2018-05-06 2022-01-11 Nec Corporation User-added-value-based ransomware detection and prevention
US11080147B2 (en) 2018-05-16 2021-08-03 International Business Machines Corporation Adjusting backup data in response to an abnormality detection
US10942816B1 (en) * 2018-09-06 2021-03-09 NortonLifeLock Inc. Systems and methods for dynamically adjusting a backup policy
US10795994B2 (en) 2018-09-26 2020-10-06 Mcafee, Llc Detecting ransomware
US11089056B2 (en) * 2018-09-28 2021-08-10 Sophos Limited Intrusion detection with honeypot keys
US11308209B2 (en) 2019-01-18 2022-04-19 Cobalt Iron, Inc. Data protection automatic optimization system and method
US11063907B2 (en) 2019-01-18 2021-07-13 Cobalt Iron, Inc. Data protection automatic optimization system and method
US11212304B2 (en) * 2019-01-18 2021-12-28 Cobalt Iron, Inc. Data protection automatic optimization system and method
US10891200B2 (en) * 2019-01-18 2021-01-12 Colbalt Iron, Inc. Data protection automatic optimization system and method
US11232206B2 (en) * 2019-04-23 2022-01-25 Microsoft Technology Licensing, Llc Automated malware remediation and file restoration management
US11405409B2 (en) * 2019-04-29 2022-08-02 Hewlett Packard Enterprise Development Lp Threat-aware copy data management
US11100064B2 (en) 2019-04-30 2021-08-24 Commvault Systems, Inc. Automated log-based remediation of an information management system
US10990675B2 (en) 2019-06-04 2021-04-27 Datto, Inc. Methods and systems for detecting a ransomware attack using entropy analysis and file update patterns
US11616810B2 (en) 2019-06-04 2023-03-28 Datto, Inc. Methods and systems for ransomware detection, isolation and remediation
US11347881B2 (en) 2020-04-06 2022-05-31 Datto, Inc. Methods and systems for detecting ransomware attack in incremental backup
KR102258910B1 (ko) * 2019-08-07 2021-06-01 순천향대학교 산학협력단 백업 시스템에서 파일의 엔트로피를 기반으로 기계학습을 활용한 효과적인 랜섬웨어 탐지 방법 및 시스템
US11657155B2 (en) 2019-11-22 2023-05-23 Pure Storage, Inc Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system
US11941116B2 (en) 2019-11-22 2024-03-26 Pure Storage, Inc. Ransomware-based data protection parameter modification
US11720714B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Inter-I/O relationship based detection of a security threat to a storage system
US11625481B2 (en) 2019-11-22 2023-04-11 Pure Storage, Inc. Selective throttling of operations potentially related to a security threat to a storage system
US11720692B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Hardware token based management of recovery datasets for a storage system
US20210382992A1 (en) * 2019-11-22 2021-12-09 Pure Storage, Inc. Remote Analysis of Potentially Corrupt Data Written to a Storage System
US11615185B2 (en) 2019-11-22 2023-03-28 Pure Storage, Inc. Multi-layer security threat detection for a storage system
US11520907B1 (en) 2019-11-22 2022-12-06 Pure Storage, Inc. Storage system snapshot retention based on encrypted data
US11675898B2 (en) 2019-11-22 2023-06-13 Pure Storage, Inc. Recovery dataset management for security threat monitoring
US11645162B2 (en) 2019-11-22 2023-05-09 Pure Storage, Inc. Recovery point determination for data restoration in a storage system
US11651075B2 (en) 2019-11-22 2023-05-16 Pure Storage, Inc. Extensible attack monitoring by a storage system
US11341236B2 (en) 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system
US11687418B2 (en) * 2019-11-22 2023-06-27 Pure Storage, Inc. Automatic generation of recovery plans specific to individual storage elements
US11755751B2 (en) 2019-11-22 2023-09-12 Pure Storage, Inc. Modify access restrictions in response to a possible attack against data stored by a storage system
US11354195B2 (en) * 2020-02-03 2022-06-07 EMC IP Holding Company LLC System and method for intelligent asset classification
KR102395263B1 (ko) * 2020-08-20 2022-05-10 한국전자통신연구원 메모리 분석 기반 암호화 키 복구 장치 및 방법
IT202000028874A1 (it) 2020-11-27 2022-05-27 F&F S R L Metodo, sistema, dispositivo e uso anti-ransomware di restore and data protection per endpoint
US11971989B2 (en) 2021-02-02 2024-04-30 Predatar Ltd Computer recovery system
US11574050B2 (en) 2021-03-12 2023-02-07 Commvault Systems, Inc. Media agent hardening against ransomware attacks
CN113360909B (zh) * 2021-06-17 2022-10-28 深圳融安网络科技有限公司 勒索病毒防御方法、勒索病毒防御设备及可读存储介质
CN113949555B (zh) * 2021-10-13 2023-01-31 中国商用飞机有限责任公司 基于时间标记和数据比对模块的机上网络防御方法和系统
US11663336B1 (en) 2022-04-06 2023-05-30 Dell Products L.P. Block-based protection from ransomware
US11755733B1 (en) 2022-04-06 2023-09-12 Dell Products L.P. Identifying ransomware host attacker

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009116773A (ja) * 2007-11-09 2009-05-28 Hitachi Ltd バックアップ実行可否判定システム
US20110082838A1 (en) * 2009-10-07 2011-04-07 F-Secure Oyj Computer security method and apparatus

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11134234A (ja) * 1997-08-26 1999-05-21 Reliatec Ltd バックアップ・リストア方法およびその制御装置,並びにバックアップ・リストアプログラムを記録したコンピュータ読み取り可能な記録媒体
US20040107199A1 (en) * 2002-08-22 2004-06-03 Mdt Inc. Computer application backup method and system
US8453243B2 (en) * 2005-12-28 2013-05-28 Websense, Inc. Real time lockdown
US8499349B1 (en) * 2009-04-22 2013-07-30 Trend Micro, Inc. Detection and restoration of files patched by malware
CN101546284B (zh) * 2009-04-28 2010-11-03 冠捷科技(武汉)有限公司 一种液晶显示设备数据资料的恢复方法
JP2011039804A (ja) * 2009-08-12 2011-02-24 Hitachi Ltd 障害内容に基づくバックアップ管理方法
US8918878B2 (en) * 2011-09-13 2014-12-23 F-Secure Corporation Restoration of file damage caused by malware
US10019574B2 (en) * 2011-12-22 2018-07-10 Intel Corporation Systems and methods for providing dynamic file system awareness on storage devices
CN107103238A (zh) * 2012-02-29 2017-08-29 卡巴斯基实验室封闭式股份公司 用于保护计算机系统免遭恶意对象活动侵害的系统和方法
US9230096B2 (en) * 2012-07-02 2016-01-05 Symantec Corporation System and method for data loss prevention in a virtualized environment
US9292688B2 (en) * 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
US9639597B2 (en) * 2012-10-30 2017-05-02 FHOOSH, Inc. Collecting and classifying user information into dynamically-updated user profiles
US9147073B2 (en) * 2013-02-01 2015-09-29 Kaspersky Lab, Zao System and method for automatic generation of heuristic algorithms for malicious object identification
US9317686B1 (en) * 2013-07-16 2016-04-19 Trend Micro Inc. File backup to combat ransomware
GB2517483B (en) * 2013-08-22 2015-07-22 F Secure Corp Detecting file encrypting malware
US20150172304A1 (en) * 2013-12-16 2015-06-18 Malwarebytes Corporation Secure backup with anti-malware scan
US9578042B2 (en) * 2015-03-06 2017-02-21 International Business Machines Corporation Identifying malicious web infrastructures
US10303666B2 (en) * 2015-03-09 2019-05-28 International Business Machines Corporation File transfer system using file backup times
US9934265B2 (en) * 2015-04-09 2018-04-03 Commvault Systems, Inc. Management of log data
US10929537B2 (en) * 2015-07-31 2021-02-23 Digital Guardian, Inc. Systems and methods of protecting data from malware processes
WO2017125935A1 (en) * 2016-01-24 2017-07-27 Minerva Labs Ltd. Ransomware attack remediation
US10742665B2 (en) 2016-02-01 2020-08-11 NortonLifeLock Inc. Systems and methods for modifying file backups in response to detecting potential ransomware
US10303877B2 (en) * 2016-06-21 2019-05-28 Acronis International Gmbh Methods of preserving and protecting user data from modification or loss due to malware

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009116773A (ja) * 2007-11-09 2009-05-28 Hitachi Ltd バックアップ実行可否判定システム
US20110082838A1 (en) * 2009-10-07 2011-04-07 F-Secure Oyj Computer security method and apparatus

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10742665B2 (en) 2016-02-01 2020-08-11 NortonLifeLock Inc. Systems and methods for modifying file backups in response to detecting potential ransomware
JP2020501209A (ja) * 2016-12-29 2020-01-16 ドロップボックス, インコーポレイテッド マルウェア検出及びコンテンツアイムの復元
US11580221B2 (en) 2016-12-29 2023-02-14 Dropbox, Inc. Malware detection and content item recovery
KR102017889B1 (ko) * 2019-03-25 2019-09-03 임채율 팬 필터 유니트 모니터링 시스템
JP7475428B2 (ja) 2019-08-13 2024-04-26 インターナショナル・ビジネス・マシーンズ・コーポレーション オンデマンドのファイル・システムのロックダウンおよび自動修復機能を伴う自動ランサムウェア検出

Also Published As

Publication number Publication date
US20170223031A1 (en) 2017-08-03
EP3411825A1 (en) 2018-12-12
JP6689992B2 (ja) 2020-04-28
WO2017136073A1 (en) 2017-08-10
CN108701188A (zh) 2018-10-23
CN108701188B (zh) 2021-09-24
EP3411825B1 (en) 2020-02-05
US10742665B2 (en) 2020-08-11

Similar Documents

Publication Publication Date Title
JP6689992B2 (ja) 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法
JP6756933B2 (ja) 悪意のあるコンピューティングイベントを検出するためのシステム及び方法
US9852289B1 (en) Systems and methods for protecting files from malicious encryption attempts
CN110521179B (zh) 用于强制执行动态网络安全策略的系统和方法
JP6364547B2 (ja) セキュリティイベントを標的型攻撃として分類するシステム及び方法
US20200082081A1 (en) Systems and methods for threat and information protection through file classification
JP6101408B2 (ja) イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法
US10284587B1 (en) Systems and methods for responding to electronic security incidents
US20180007069A1 (en) Ransomware Protection For Cloud File Storage
JP6196393B2 (ja) プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法
US10210330B1 (en) Systems and methods for detecting malicious processes that encrypt files
EP3014515B1 (en) Systems and methods for directing application updates
JP2019516160A (ja) セキュリティ脅威を検出するためのシステム及び方法
US10250588B1 (en) Systems and methods for determining reputations of digital certificate signers
US9934378B1 (en) Systems and methods for filtering log files
US10489587B1 (en) Systems and methods for classifying files as specific types of malware
US9166995B1 (en) Systems and methods for using user-input information to identify computer security threats
US9900330B1 (en) Systems and methods for identifying potentially risky data users within organizations
US10769267B1 (en) Systems and methods for controlling access to credentials
US10162962B1 (en) Systems and methods for detecting credential theft
US10169584B1 (en) Systems and methods for identifying non-malicious files on computing devices within organizations
US11113152B1 (en) Systems and methods for managing file backup
US10262135B1 (en) Systems and methods for detecting and addressing suspicious file restore activities
US10650142B1 (en) Systems and methods for detecting potentially malicious hardware-related anomalies
US10887339B1 (en) Systems and methods for protecting a cloud storage against suspected malware

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180717

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180717

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20180723

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190730

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191008

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200408

R150 Certificate of patent or registration of utility model

Ref document number: 6689992

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250